نقص امنیتی ارتقا دسترسی برای دستیابی به اکانت NetworkService با شناسه CVE-2024-8068 (امتیاز CVSS: 5.1) و اجرای کد از راه دور محدود با دسترسی به اکانت NetworkService با شناسه CVE-2024-8069 (امتیاز CVSS: 5.1) فاش شدهاند که بر اپهای مجازی و دسکتاپ Citrix تأثیر میگذارند.
آسیبپذیریهای مذکور میتوانند به منظور دستیابی به اجرای کد از راه دور (RCE) احراز هویت نشده اکسپلویت شوند. طبق یافتههای watchTowr، این باگها ریشه در مؤلفه Session Recording دارند و از «ترکیب یک نمونه MSMQ با مجوزهای پیکربندی نادرست که از BinaryFormatter استفاده میکند، از هر میزبانی از طریق HTTP برای اجرای حملات RCE استفاده میکنند. بر اساس تجزیه و تحلیل بعدی تیم امنیتی، این نقصها یک RCE احراز هویت شده هستند که صرفا میتوانند به عنوان یک اکانت NetworkService انجام شوند.
مایکروسافت از توسعهدهندگان خواست استفاده از BinaryFormatter را برای سریالزدایی متوقف کنند، زیرا این روش هنگام استفاده با ورودی نامعتبر ایمن نیست. از آگوست 2024، اجرای BinaryFormatter از NET 9. حذف شده است. گفتنی است که کد PoC در دسترس است و تلاشهای بالقوه اکسپلویت برای هدف قرار دادن این دو نقص توسط بنیاد Shadowserver مشاهده شده است. نقصها در نسخههای زیر برطرف شده است:
▫️Citrix Virtual Apps and Desktops قبل از 2407 hotfix 24.5.200.8
▫️Citrix Virtual Apps and Desktops 1912 LTSR قبل از CU9 hotfix 19.12.9100.6
▫️Citrix Virtual Apps and Desktops 2203 LTSR قبل از CU5 hotfix 22.03.5100.11
▫️Citrix Virtual Apps and Desktops 2402 LTSR قبل از CU1 hotfix 24.02.1200.16
https://thehackernews.com/2024/11/new-flaws-in-citrix-virtual-apps-enable.html
